【安全圈】法国当局启动行动，从受感染的系统中删除PlugX恶意软件

关键词

法国司法当局与欧洲刑警组织合作，启动了一项所谓的“消毒行动”，以清除一种名为PlugX的已知恶意软件的受感染主机。

巴黎检察官办公室Parquet de Paris表示，该倡议于7月18日启动，预计将持续“几个月”。

它进一步表示，位于法国，马耳他，葡萄牙，克罗地亚，斯洛伐克和奥地利的大约一百名受害者已经从清理工作中受益。

近三个月前，法国网络安全公司 Sekoia 披露，它于 2023 年 9 月花费 7 美元获取 IP 地址，这是一个与 PlugX 木马相连的命令和控制 （C2） 服务器。它还指出，每天有近 100,000 个唯一的公共 IP 地址向被扣押的域发送 PlugX 请求。

PlugX（又名 Korplug）是一种远程访问木马 （RAT），至少自 2008 年以来被 China-nexus 威胁行为者广泛使用，以及 Gh0st RAT 和 ShadowPad 等其他恶意软件系列。

该恶意软件通常使用 DLL 侧载技术在受感染的主机中启动，允许威胁行为者执行任意命令、上传/下载文件、枚举文件和收集敏感数据。

“这个后门，最初是由赵继斌（又名。WHG），在整个过程中以不同的变体进化，“Sekoia今年4月初说。“PlugX构建器在几个入侵集之间共享，其中大多数归因于与中国国家安全部有联系的幌子公司。”

多年来，它还集成了一个可蠕虫组件，使其能够通过受感染的 USB 驱动器传播，从而有效地绕过气隙网络。

Sekoia设计了一种删除PlugX的解决方案，该公司表示，具有USB分发机制的恶意软件变体带有自删除命令（“0x1005”），以从受感染的工作站中删除自身，尽管目前无法将其从USB设备中删除。

“首先，这种蠕虫具有存在于气隙网络上的能力，这使得这些感染超出了我们的能力范围，”它说。“其次，也许更值得注意的是，PlugX蠕虫可以在没有连接到工作站的情况下长时间存在于受感染的USB设备上。

鉴于从系统中远程擦除恶意软件涉及的法律复杂性，该公司进一步指出，它将决定推迟到国家计算机应急响应小组 （CERT）、执法机构 （LEA） 和网络安全机构。

“根据 Sekoia.io 的报告，法国司法当局启动了消毒行动，以拆除由 PlugX 蠕虫控制的僵尸网络。PlugX影响了全球数百万受害者，“Sekoia告诉The Hacker News。”由 Sekoia.io TDR团队开发的消毒解决方案是通过欧洲刑警组织向伙伴国家提出的，目前正在部署。

“我们很高兴与法国（巴黎检察官办公室J3节、警察、宪兵队和ANSSI）和国际（欧洲刑警组织和第三国警察部队）参与的行为者开展富有成效的合作，以采取行动打击长期的恶意网络活动。”